株式会社Leaner Technologies様 – 顧客事例 –

株式会社Leaner Technologiesは、LRMのサポートを受け、2021年2月、ISMS/ISO27001認証を取得しました。
準備期間は4ヶ月。取り組みの背景や成果、LRMにコンサルティングを依頼した経緯と評価などを、ISMS事務局のエンジニアリング開発部・安齋研一郎氏に伺いました。

お客様が抱える課題とISMS構築アプローチ

• 情報セキュリティへの取り組みを客観的に示したい
• 最短(約4か月)で取得したい
• 取得に向けて何をすべきか分からない

• LRMのひな形を活用し、打合せの間隔も短くして実施
• コンサルタントからの具体的な説明やLRMと一緒に準備を進める中で、ISMSの概念を少しずつ理解
• 従業員のオペレーションをほとんど変えずに体制を構築

LRMコンサルティングサービスへの感想

• SaaS系企業の支援実績が多く、ツールの活用などに親しみやすい印象を持てた
• 自社のビジネスへの理解をした上で、的確なアドバイスをもらえた
• いつまでに何を用意すべきかを計画的に示し、スムーズに進行してもらえた

（株式会社Leaner Technologiesについて）

「支出管理プラットフォーム『Leaner』 の企画・開発・運営を行うITベンチャー。『Leaner』は、企業活動にかかるさまざまなコストを適切に管理・適正化することができるクラウドサービスだ。支出分析や見積管理といった支出管理に関わる様々な業務を効果的・効率的に実現する。2019年5月のリリース以降、1年半で大手企業を中心に数十社以上の企業が導入し、取扱支出総額は2,000億円を突破。コロナ禍において導入ペースはさらに加速している。国内初の間接費管理・ソーシングのプラットフォームとして 「コストが削減・適正化され、現場担当者が当たり前に評価される社会」「質の高いサービスが生まれ当たり前に選ばれる市場」の創造を目指す。
本社：東京都目黒区。設立：2019年2月。従業員数：約10名。

— LRMへのご依頼内容をお話し下さい。

株式会社Leaner Technologiesは、2020年9月、LRM株式会社に、ISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。LRMと一緒に、約4ヶ月間の準備期間を経て、2021年1月に第2段階審査を受審し、2月上旬に認証を取得しました。

— ISMS認証を取得した理由をお話し下さい。

ISMS認証を取得した理由の第一は、弊社の情報セキュリティ管理体制に対し、外部からの信頼を獲得するためです。

弊社が提供するサービスでは、お客様の会計データや請求データ、契約書データなどを受領し、分析してお返しするサービスです。扱うデータには、非常に機微な情報が含まれています。そのため創業当時からアクセス権限の設定ルールを定めるなど、情報セキュリティには意識的に取り組んでいましたが、取り組みの水準を客観的に示せる材料はありませんでした。そこで、国際規格に基づいた認証制度であるISMS認証を取得しました。

また、ISMS認証取得までの取り組みを通じて、客観的な基準に沿ったマネジメント体制を確立することで、社内のセキュリティ体制の強化にも繋がると考えました。

— 冒頭で約4ヶ月間の取り組みとおっしゃいましたが、急いでおられたのですか。

LRMに依頼してスタートした時点では、6ヶ月間のスケジュールを立てていました。依頼する際に平均所要期間を伺った際、およそ6ヶ月とご回答いただいたため、それを目安に取り組むことにしました。
ただ、社内から、営業先にアナウンスしていることもあり、もう少し早くならないかと要望が上がってきたため、改めてLRMに相談し、2ヶ月前倒ししたスケジュールを立て直していただきました。

— ISMS認証取得にあたっての社内体制をお話し下さい。

ISMS事務局は私が1人で担いました。その他、情報資産の洗い出しなどは、各部門のマネージャー中心に、協力してもらいました。

— 安齋さんは普段、どのようなお仕事をされている方ですか。

所属はエンジニアリング開発部門ですが、創業からずっと在籍していることもあり、バックオフィスも担当しています。バックオフィス、経理、労務、法務、総務、さらに社内のシステム周りなど、管理業務全般を担っています。

— 最初からコンサルティング会社のサポートは受けるおつもりだったのですか。

はい。何をして良いかわかりませんでしたので、自力でISMS認証を取得するのは難しいと思いました。

— LRMに依頼した理由をお話し下さい。

ホームページの情報量が多かったこと、その中に弊社と近しいSaaS系のサービスを提供している企業の導入事例が豊富に掲載されていたことが最大の理由です。情報セキュリティも、業種業態によって取り組み方が変わると思います。SaaS系企業のサポート導入事例が多いということは、業界の事情に詳しいのではないかという期待が持てました。Webサイトを見た時点で、ほぼ決めていました。

— 何社か比較はされたのですか。

はい。まずはLRMを含め3社をピックアップして比較しました。ただその中の1社は、ホームページの情報が薄かったこと、問い合わせてから返信まで、3～4営業日ぐらい全く音沙汰がなかったこと、この2点により候補から外しました。依頼したとしても、対応が遅くなるのは嫌だなと思いました。

もう1社は、事業歴が長く、年配の方が窓口でした。最初に話を聞いたのがこちらです。どんな感じでコンサルティングを進めるのかを聞くと、「御社の希望に合わせて何でも出来ます」と言われました。しかし、特に希望はなく、どちらかというと専門家にお任せしたいと思って探していましたので、話がかみ合わないかなと感じ、LRMの話を聞きました。

— 実際にLRMと話をされて、どのような印象を持ちましたか。

我々の手間を可能な限り省くために予め用意された雛形を活用し、ヒアリングに基づいて弊社の実態に合わせてカスタマイズしていくという進め方や、オンラインストレージサービス『Box』を使ったドキュメントの共有、オンラインミーティングの活用など、親しみやすそうな印象を持ち、LRMに依頼しました。

— ISMS認証が取れたことで目的の1つは達成できました。情報セキュリティ管理体制の強化が出来たという実感はございますか。

もともと基本的な対策は出来ていたという自負はあります。ただ、振り返ってみると、メンバーによって情報セキュリティに対する意識レベルに差がありました。特に新しく入ってきたメンバーの中にはなんとなく言われた通りにやっているような状況があったと思います。今回の取り組みを通して、そういった属人的な管理から抜け出し、抜け漏れがない、体系的な管理体制を構築することが出来ました。

— 管理体制を整備するということに関しては社内から反発はありませんでしたか。

反発はなかったと思います。創業当時から基本的な対策を取っていたため、従業員のオペレーションはほとんど変わりません、従業員の負荷はほとんど変わっていませんので、「おそらく事務局が管理体制を整えているのだろう」ぐらいの認識だと思います。セキュリティ教育や内部監査の実施など、多少のタスクはありますが、通常業務における負荷はほとんど変わっていません。

— オペレーションの変更も特にはなかったですか。

細かいことを言えば、会社から貸与しているスマートフォンの設定を変えてもらったり、社内のコミュニケーションに使用している『Slack』の投稿のルールを定めたりしました。投稿ルールと言っても、ファイルを直接アップロードせずに、ストレージにアップロードしてURLを張るようにしたぐらいのことです。

— スケジュールを2ヶ月間短縮されたということですが、トレードオフで犠牲になったことはございませんか。

ISMSの取り組み自体で何かを削ったようなことはなかったと思います。単純に2週間かける予定だったタスクを1週間でこなすといったように、スケジュールを縮めただけです。犠牲になったものがあるとすれば私自身のメンタルだけです。もちろん、LRMの担当コンサルタントの方にも打ち合わせの間隔を短くしてもらうなど、いろいろとご協力いただいた部分はあったと思いますし、審査機関の方にも日程を調整していただきました。

— やはり、安齋さんご自身の負担は増えましたか。

開発のメンバーが増えていましたので、この4ヶ月間、私自身は開発の優先度を下げて、ISMSの取り組みに力を入れました。

— コロナ禍で審査の日程調整が難航することはありませんでしたか。

弊社の場合、年末年始か1月の頭ならスケジュールが空いているということでしたので、そこに合わせました。
その結果、第2段階審査が1月4日からの3日間だったため、年末年始の休みは全く休んだ気がしませんでした。

— やはりプレッシャーはありましたか。

そうですね。審査を受けると思うと気持ちは休まりませんでした。LRMからは、心配するような不備はないと言われていましたが、審査に通らないようなことがあれば、会社の中でも肩身が狭くなりますのでプレッシャーは感じました。

— LRMにご依頼される際に、「御社の手間暇がかからないようにやる」というお話があったと思いますが、実際はいかがでしたか。

その通りでした。マニュアルの雛形や情報資産管理台帳などの各種フォーマットをいただいた上で、弊社側の業務をヒアリングしていただき、その内容に合わせてカスタマイズしていただくという進め方は、伺っていた通りでした。
私はミーティングに出て質問に答え、宿題をいただいて、その成果物を返せば前に進んでいるという感じでしたので、とてもやりやすかったです。

— マニュアルの雛形にはこう書いてあるけど、やりたくないなというものもあったのですか。

「やりたくない」というより、実態と違うものはありました。例えば、オンプレミスサーバーに関する記述がありましたが、弊社が使っているサーバーはオンプレミスではなくクラウドなので、その記述を変えたいといった要望はお伝えしました。

— 今回の取り組みでご苦労されたことはございませんでしたか。

「そもそもISMSとは何か」を、私自身が理解するところが大変でした。社内のセキュリティの状態が今どうなっていて、社内でどう共有されているかを明らかにし、リスクがあればそれを洗い出して、改善する計画を立て、実行してまた計画を立てる。このようなサイクルをいかに回すかがISMSの大事なポイントだと思いますが、そこの概念をきちんと理解するまでが時間がかかりました。

— それはどのように理解して行かれたのですか。

LRMと一緒に準備を進める中で何となく、少しずつ理解していきました。打ち合わせの中で疑問が生じる度に質問したことで理解出来たこともありますし、宿題をこなす中で腹落ちしていった部分もありました。宿題を出していただく際、具体的にご説明いただけたことも理解の助けになりました。

— 従業員教育と内部監査についてうかがいます。まず、従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って実施されたのですか。

はい。情報セキュリティとはどういうもので、どういうところから情報漏えいが起こりやすいのかなど、情報セキュリティの基本を抑える内容でした。『セキュリオ』はeラーニングの他、法令管理、委託先管理の機能を使いました。
また、ニュース配信のメールもチェックするようにはしていました。

— 『セキュリオ』をご利用になられたご感想をお話し下さい。

事務局の工数を削減出来る点は便利だと思いました。特にeラーニングは、従業員がセキュリティテストを受けた記録を残すことが出来ます。誰が終わっていて、誰が終わっていないか、社員ごとの点数も履歴が残るため、管理する側としてはやりやすいです。従業員側も各自都合の良いタイミングで受講出来る点は良いと思います。

— 打ち合わせはオンラインで実施されたとのことでしたが、内部監査もオンラインですか。

内部監査は現地で実施しました。全員出社してオフィスの中を整理整頓した上で、LRMの担当コンサルタントに内部監査員を代行していただいて実施しました。

— 内部監査員代行のメリットをお話し下さい。

メリットは客観的な視点でチェックしていただける点です。情報資産の洗い出しやリスクの洗い出しなど、我々自身は十分に出来ていると思っていても、外部の目線でチェックしていただくと不足している部分は出てきます。そういった点をご指摘頂けましたので良かったと思います。

— 審査はいかがでしたか。

事前に文書管理台帳を頂いて準備が出来ていましたので、審査員からの質問に困ることもなく、スムーズに進めることが出来ました。また、指摘事項は細かいものが多少あったぐらいです。

— すでに指摘事項への対応も終わっているのですか。

いいえ。指摘事項は基本的に、次年度の計画に組み込むものであると理解しています。次年度の維持審査までに、改めてリスク評価を行い、対応するかしないか、対応するものはいつまでに対応するかを計画して実行していきます。